Terminaldienste über VPN's

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 VPN – Begriffsdefinition
2.1 VPN-Typen
2.2 Sicherheitstechnologien
2.2.1 Authentifizierung
2.2.2 Verschlüsselung
2.2.3 Schlüsselmanagement
2.3 Tunneling-Protokolle
2.3.1 PPTP (Layer 2 Tunneling)
2.3.2 L2TP (Layer 2 Tunneling)
2.3.3 IPSec (Layer 3 Tunneling)
2.3.4 SSL/SSL-VPN (Layer 4 Tunneling)
2.3.5 Multiprotokoll Label Switching/MPLS-VPN (Layer 2 Tunneling)

3 Terminal-Dienste (Server-based Computing)
3.1 Entstehung der Terminal-Dienste
3.2 Microsoft Windows Terminal Server / Das RDP-Protokoll
3.3 Citrix MetraFrame XP Presentation Server / Das ICA-Protokoll

4 Einsatz von Terminal-Diensten über VPN‘s
4.1 Einrichtung im Unternehmen
4.2 Unternehmensspezifische Voraussetzungen
4.3 Vorteile
4.4 Nachteile
4.5 Resumée

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Virtuelles Privates Netzwerk (VPN)

Abbildung 2: VPN-Anwendungsspektrum

Abbildung 3: MPLS basiertes VPN

Abbildung 4: Funktionsweise der Terminal-Dienste

1 Einleitung

Die zunehmende Globalisierung und die damit verbundene starke Verflechtung der Unternehmen haben einen enorm ansteigenden Datenaustausch zur Folge. Weltweite Standortvernetzungen, darunter auch die Integration von Kunden bzw. Lieferanten in das eigene Datennetz, gelten als Standard und werden dementsprechend weiter ausgebaut. Neuere Themen wie VoiP^[1] (Voice-over-IP) oder IP-Videoconferencing werden zunehmend in die Geschäftsprozesse eingegliedert.

Viele Betriebe haben den Trend bzw. die Möglichkeiten der Telearbeit erkannt und wollen Ihren Mitarbeitern eine Technik zur Verfügung stellen, so dass diese mit Hilfe einer Einwahl in das Internet über einen beliebigen ISP (Internet Service Provider), auf Daten des firmeninternen Netzwerkes auch von außerhalb zugreifen können. Ein fester Bestandteil jeder heutigen IT-Landschaft ist dabei das VPN, das ein kostengünstiges und flexibles Verfahren zum Datenaustausch darstellt. Betriebe können so weltweit auf einfachste Weise mit Verbundunternehmen, Geschäftspartnern, Mitarbeitern oder beliebigen anderen Teilnehmern geschützt über das Internet kommunizieren.

Die Zentralisierung von Rechnersystemen gewinnt auf Grund der immer komplexer werdenden Verwaltung von dezentralen Systemen zunehmend an Bedeutung. Das Mehrbenutzerkonzept der Terminal-Dienste bzw. eines Terminal-Servers stellt sich dabei als zukunftssichere Technologie zur Vereinfachung des Administrationsaufwandes dar.

Zuerst wird in dieser Hausarbeit der Begriff VPN, die geeigneten Sicherheitstechniken sowie die dazugehörigen, standardisierten Tunneling-Protokolle erläutert.

Der zweite Teil setzt sich mit der Thematik der Terminal-Dienste, dem sog. Server-based Computing sowie den speziellen Protokollen der einzelnen Anbieter dieses Segmentes auseinander.

Abschließend wird im letzten Teil untersucht, welche Vorteile bzw. Risiken sich aus der Nutzung von Terminal-Diensten über ein VPN ergeben und ob ein Einsatz in der Praxis sinnvoll ist.

2 VPN – Begriffsdefinition

Der Begriff VPN steht für Virtuelles Privates Netzwerk. Es handelt sich hierbei um ein privates Netzwerk, das ein öffentliches Netzwerk^[2], wie z. B. das Internet, zur Kommunikation bzw. zum Datenaustausch nutzt.^[3]

Das VPN stellt dem jeweiligen Benutzer eine virtuelle IP-Verbindung zur Verfügung, der Datenstrom wird dabei verschlüsselt, um öffentliche Zugriffe auszuschließen und eine Vertraulichkeit der Daten zu gewährleisten.^[4] Die VPN-Verbindung erscheint für den jeweiligen Kommunikationspartner als wäre diese eine private Point-to-Point-Verbindung^[5], vgl. hierzu Abbildung 1. VPN-Gateways oder auf Firewall-Systemen integrierte VPN-Lösungen übernehmen dabei die technische Realisation.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Virtuelles Privates Netzwerk (VPN)

Quelle: o. V., Microsoft Deutschland (o. J.) S. 5, Stand: 09.08.2007

2.1 VPN-Typen

Je nach Anwendungsfall bzw. Einsatzgebiet werden drei VPN-Typen unterschieden, vgl. Abbildung 2.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: VPN-Anwendungsspektrum

Quelle: Böhmer, W. (2005) S. 182

Das Branch-Office-VPN oder auch Site-to-Site-VPN genannt, verbindet unterschiedliche Standorte derselben Firma miteinander.^[6] Über VPN-Gateways bzw. Firewall-Systeme wird eine meist dauerhafte Verbindung aufgebaut.^[7] Die Clients der einzelnen Standorte brauchen daher keine zusätzliche Software für eine Kommunikation über den VPN-Tunnel, lediglich einen Internetzugang über einen beliebigen ISP, sowie ein VPN-Gateway bzw. ein Firewall-System.

Das Extranet-VPN oder auch End-to-End-VPN bezeichnet eine VPN-Verbindung, bei der eine Firma mit Partnerunternehmen, Zulieferern oder anderen Organisationen, also nicht mit eigenen Firmenfilialen, verbunden ist.^[8] Ein Extranet unterscheidet sich somit von einem Intranet-VPN nur hinsichtlich der Öffnung des privaten Netzwerkes für externe Personen oder Organisationen.^[9]

Das Remote-Access-VPN, auch als End-to-Site-VPN bezeichnet, stellt die klassische Anbindung eines Außendienstmitarbeiters an das Firmennetz dar.^[10] Auf dem Computer des Mitarbeiters wird meist eine spezielle VPN-Client-Software benötigt, um einen geschützten Tunnel zum VPN-Gateway der Firmenzentrale herzustellen.^[11] Die Verbindung in das Internet ist providerunabhängig und kann jederzeit über einen anderen ISP ausgeführt werden.

2.2 Sicherheitstechnologien

Die Sicherheit der Datenübertragung ist einer der wichtigsten Aspekte eines VPN’s. Durch komplexe mathematische, organisatorische und verfahrenstechnische Mechanismen wird diese Sicherheit erreicht. Es gilt die Daten vor Veränderung durch unbefugte Dritte zu schützen, dies wird meist als Datenintegrität bezeichnet.^[12] Die Datenvertraulichkeit, also die Sicherstellung der Privatsphäre, ist eine weitere bedeutsame Aufgabe der Sicherheitsmechanismen eines VPN’s. Drei der wichtigsten Mechanismen, die Authentifizierung, die Verschlüsselung, sowie das Schlüsselmanagement werden im folgenden Abschnitt näher erläutert.

2.2.1 Authentifizierung

Authentifizierungsmechanismen spielen bei der Übertragung von Informationen über ein VPN eine bedeutende Rolle.^[13] Sie stellen sicher, dass nur autorisierte Benutzer bzw. Computer einen VPN-Tunnel aufbauen und die Daten nicht durch gefälschte Absenderadressen manipuliert werden können.^[14]

Es werden zwei Authentifizierungsmechanismen unterschieden. Die Paket-Authentifizierung nutzt spezielle Prüfsummenberechnungen, um das ankommende Datenpaket hinsichtlich Unverfälschtheit zu überprüfen. Dabei werden symmetrische Verschlüsselungsverfahren verwendet, sog. Keyed-Hash-Funktionen wie MD5 und SHA. IPSec bspw. nutzt zur Paketauthentifizierung ASH und ESP, die Schlüsselverteilung wird über das IKE-Protokoll (Internet Key Exchange) durchgeführt.

Mit Hilfe der Benutzer-Authentifizierung soll die Identität des Kommunikationspartners sichergestellt bzw. überprüft werden. Die Technologie reicht hier von einfachen Passwortabfragen bis hin zu Zugriffs-Zertifikaten. Die Layer 2 Protokolle nutzen bspw. Passwortverfahren wie PAP und CHAP, IPSec hingegen nutzt zur User-Authentifizierung RADIUS oder X.509. Diese arbeiten mit Zufallszahlen und Hashwerten.^[15]

2.2.2 Verschlüsselung

Durch verschiedenste Verschlüsselungsalgorithmen wird gewährleistet, dass die Netzwerkbeziehung von Sender und Empfänger unerkannt bleibt und die Daten für andere Teilnehmer unkenntlich und somit nicht verwendbar sind. Eine Originalnachricht des Senders wird unter Verwendung eines speziellen Algorithmus verschlüsselt und ist somit für Dritte unlesbar. Der Empfänger kann nun mit Hilfe eines Mechanismus den Verschlüsselungsvorgang rückgängig machen, dies wird als Kryptographie bezeichnet.^[16] Die Sicherheit der Datenübertragung hängt von dem verwendeten Verschlüsselungsverfahren und dessen Länge ab. Auf Grund der rasch steigenden Rechenleistung sind daher Schlüssellängen von 40 bzw. 56 Bit, diese werden in DES oder MPPE eingesetzt, nicht mehr als sicher zu betrachten. Heutige Standards für Algorithmen sind Triple-DES, IDEA oder AES.^[17]

2.2.3 Schlüsselmanagement

Das Schlüsselmanagement eines VPN stellt sicher, dass der Schlüsselaustausch, sowie die Erneuerung der Schlüssel automatisch und gesichert erfolgen. Diese besitzen meist nur eine geringe Lebensdauer und müssen automatisch erzeugt und verteilt werden. „Für die Verschlüsselung und Schlüsselvergabe werden asymmetrische Verfahren eingesetzt, d.h. für Vor- und Entschlüsselung werden unterschiedliche Schlüssel verwendet.“^[18] Diese Technik wird als Public-Key-Verfahren bezeichnet, da hier unter Verwendung eines öffentlichen Schlüssels die Verschlüsselung stattfindet.

2.3 Tunneling-Protokolle

Tunneling-Protokolle bzw. das Tunneling-Verfahren bilden die Basis eines VPN’s. Der Begriff Tunneling steht für ein Konzept, indem IP-Datenpakete über öffentliche Netze, bspw. das Internet, geschützt transportiert werden können.^[19] Die Daten sind für Dritte unlesbar. Dabei werden die Netzwerkpakete, sowie der IP-Header als Tunnel-Header eingekapselt (Encapsulation).^[20] Dieses Verfahren stellt die Grundlage aller VPN-Modelle dar. Die fünf wichtigsten Tunneling-Protokolle werden im Folgenden dargestellt.

2.3.1 PPTP (Layer 2 Tunneling)

Das Point-to-Point-Tunneling-Protokoll (PPTP) ist eine Erweiterung des Point-to-Point-Protokolls (PPP) und arbeitet auf Schicht 2 des OSI-Referenzmodells.^[21] Es wurde bereits in den Betriebssystemen Windows 95 sowie NT 4.0 eingesetzt und in späteren Betriebssystemversionen implementiert. Das PPTP unterstützt für den Datentransport diverse Protokolle wie IP, IPX und NETBUI und ist somit sehr flexibel einsetzbar.

[...]

^[1] Vgl. Ebner, G. (2006) S. 3

^[2] Im weiteren Verlauf dieser Seminararbeit wird der Begriff VPN immer im Zusammenhang mit einer Nutzung über das Internet als Transportnetzwerk angesehen.

^[3] Vgl. Voss, A. (2007) S. 880

^[4] Vgl. Lienemann, G. (2002) S. 16f.

^[5] Vgl. o. V., Microsoft Deutschland (2003) o. S., Stand 09.08.2007

^[6] Vgl. Böhmer, W. (2005) S. 186f.

^[7] Vgl. Plötner, J., Wendzel, S. (2007) S. 238

^[8] Vgl. Böhmer, W. (2005) S. 188f.

^[9] Vgl. Plötner, J., Wendzel, S. (2007) S. 239

^[10] Vgl. Böhmer, W. (2005) S. 190

^[11] Vgl. Plötner, J., Wendzel, S. (2007) S. 239

^[12] Vgl. Lienemann, G. (2002) S. 81

^[13] Vgl. Winkler, P. (2007) S. 898

^[14] Vgl. Steppuhn, M., ITSecCity (2002) o. S., Stand 10.08.2007

^[15] Vgl. Böhmer, W. (2005) S. 145

^[16] Vgl. Lienemann, G. (2002) S. 44

^[17] Vgl. ebd., S. 44ff.

^[18] o. V., Voip-Information (o. J.) o. S., Stand 10.08.2007

^[19] Vgl. Böhmer, W. (2005) S. 206f.

^[20] Vgl. Lipp, M. (2006) S. 75

^[21] Das OSI-Referenzmodell ist das bekannteste Modell zur Beschreibung herstellerunabhängiger, offener Kommunikationsarchitekturen